“超声波”原理性缺陷? 支付宝微信关闭三星支付功能

 10月23日，最近国外消费者一次意外发现，再次将三星手机送上了舆论热搜榜。超声波指纹影响金融安全，涉事机型又是三星S10和Note10旗舰机型，三星官方公告一出，引起了多方多方重视。

英国夫妇发现三星Galaxy S10手机指纹识别存在问题，在给手机装上全包硅胶壳后(包括正面)，录入指纹，意外发现任何人都能解锁手机，这一情况得到了国内外网友大量实验证实，不仅指纹，连指关节和肘关节都能进行解锁。

更多的三星手机用户尝试发现，抛开英国夫妇带有硅胶套录入指纹的先决条件，仅在解锁时放置硅胶套壳，Galaxy S10和 Galaxy Note 10指纹识别通过率较高，非录入指纹可以正常解锁。

随后，三星公司发布官方公告，承认其Galaxy S10和 Galaxy Note 10两款手机和Tab S6平板指纹识别存在漏洞。此公告引起全球多家银行以及第三方支付公司警惕，微信支付、支付宝已经关闭相关功能。

微信、支付宝关闭指纹支付服务

微信支付方面表示，10月21日下午17点，微信团队收到三星方面通知，S10和nNOTE 10机型的指纹功能存在漏洞。为避免支付安全隐患，微信支付在21日关闭了上述机型的指纹功能。

支付宝也同步关闭三星上述机型支付功能。

中国银行手机APP近日推送通知《关于临时关闭三星部分手机型号手机银行指纹服务的公告》。为保障用户登录安全，中国银行手机银行APP已暂时关闭Galaxy S10和 Galaxy Note 10两款手机的指纹登录功能。其他品牌型号手机、平板指纹登录不受影响。

三星表示，最快下周更新补丁。

罪魁祸首是“超声波”原理性缺陷

全面屏大肆渗透手机设计之后，屏幕指纹成为全面屏手机重要技术功能之一。

今年年初，三星Galaxy S10系列正式发布，其核心卖点，为联合高通首发第三代超声波屏幕指纹识别技术,号称对比光学指纹具有更安全(采集3D图像)、抗水抗污渍也更快速。今年8月，三星Note 10 系列发布，生物识别延续了超声波屏幕识别技术。

上海图正科技公司在指纹识别领域深耕多年，图正CTO赵旭接受《科创板日报》记者采访时表示，三星两款新机之所以被破解，主要原因是超声波导致算法安全上的漏洞。

“超声波是声阻抗成像，跟硅胶套透不透明没有关系，就像B超一样，通过声波介质表面反射信号形成指纹声图像。但由于指纹图像根据按压的力度、手指的干湿度等情况不同，会导致按压时图像有所差异，所以全图像算法的一大特点是拥有自学习功能，也就是说指纹芯片要不断学习新的特质、更新图像以保证解锁成功率。”

“当硅胶套放置上去解锁后，指纹识别过程中，硅胶套内部看不见的结构组成，形成了声图像，当成手指的新变化学习进去，并更新到指纹声图像中。”“陌生指纹解锁时，异物纹始终存在，算法比对到异物纹与更新过的含有异物纹的指纹声图像一致，算法判定解锁通过。”

赵旭以及多名业内人士表示，这是算法上的漏洞，而非硬件漏洞，可以通过后续软件版本更新解决。“不过后续算法更新后，屏幕指纹识别性能会受到一定影响，如解锁成功率某种程度上会降低。”

一周内很难解决

“这一次三星爆发的问题，跟当年电容贴膜原理性漏洞几乎一样，唯一的区别是物理量不同。”同样指纹芯片领域沉淀多年的迈瑞微CEO李扬渊接受《科创板日报》记者采访时说。

2017年末，也爆发一次指纹芯片安全危机，一块橘子皮就能解锁当下几乎所有主流手机，大面积引起用户恐慌。当时市场上主流手机标配home键解锁，指纹识别多采用汇顶科技以及FPC两家整体解决方案。因home键范围有限，手机搭载的指纹芯片尺寸较小，业内常用的指纹识别解决方案，为全图像比对算法，通过电容形成指纹图像，用户解锁时图像与录入图像比对，重合度高即判定通过。

“只要识别出图像一致的部分即可通过，而不会去分辨不一样部分是否为人为干扰图像。”李扬渊认为，全图像算法漏洞是“只识不别”。当年事件爆发后，国家质检总局曾有过介入。“当年问题是否成功解决尚存疑问，没想到相同的缺陷，还会再爆发一次危机。”

对于三星方面表示一周之内能解决的说明，李扬渊并不认同，这件事看起来并不复杂，但是解决起来十分棘手。“三星手机用的是高通算法，高通在屏下指纹算法上没有过多的经验积累。此次漏洞修复需要转换算法路线，一周的时间根本不够，也不符合开发周期。”李扬渊最后说。

不仅是国内市场，三星英国银行NatWest和Nationwide Building Society应用已经从三星App市场下架，英国国家建筑协会也删除问题机型的指纹登录选项，包括韩国本土的银行也停用相关指纹功能，直到三星解决指纹安全问题为止。